最好的WordPress安全插件推荐

购买房产可能是最好的投资之一，对于这样一项高额资产，你肯定想要尽最大努力来保护它，对不对？你可能会考虑配置一些安全系统，例如智能门锁、家用摄像头等等。很多专家建议至少在大门上放置一个安全系统标志，以吓唬那些不想冒险的人，所有这些安全措施旨在保护初始投资（以及未来增长）的潜力。

与此类似，开办博客、电商网站、小型企业站都需要对服务和产品（例如托管、主题、插件）进行前期投资，这还不包括你必须雇用的客服代表和销售人员。

安全 —— 仅这一项投资就足以保护你的网站，更重要的是，它还会帮助你赚取更多利润。默认情况下，WordPress核心已经采取了一些安全措施，但与信誉良好的安全插件相比，这无济于事，顶级安全插件提供以下功能：

首要任务应该是选择安全的托管服务

网站的安全性首先应该取决于运行的平台，因此在研究安全插件之前，选择具有适当安全措施的WordPress专用主机非常重要，他们已经在服务器级别做了大量工作，使得网站更加安全，而且不会牺牲站点性能。

需要注意的是，由于始终在线和实时扫描等功能而导致性能问题，有些服务商会禁止某些安全插件，但是，并非所有主机都有严格的安全性，因此WordPress安全插件可能会非常有益。大多数安全插件需要付费购买，还有一些免费产品功能有限，归根结底，这是寻找最好的方式来避免宕机，有时候，这意味着需要花一点钱。

1	Sucuri Security

作为网站所有者、拥有在线业务的企业主、个人博主等群体，在线安全极其重要，尤其是在这个充斥着无数网络安全威胁和攻击的世界。Sucuri是网络安全领域的知名品牌，也是保护网站安全所需要的平台。Sucuri Security提供免费和付费版本，对于大部分网站来说，免费版包含的功能就已经足够。

Sucuri是众多可用于网站设置和部署的内容管理系统之一，不仅可以保护WordPress网站，还可以保护所有其他的网站平台。对于免费选项，这款插件附带安全活动审计，以及文件完整性监控、黑名单识别、安全通知、安全强化等功能。高级计划开辟了客户服务渠道，扫描频率也更高。

网站防火墙是Sucuri安全解决方案的核心，具有丰富的功能，可以作为你的网站和在线世界之间的堡垒。Sucuri可以实时识别并阻止恶意流量，例如暴力攻击、SQL注入、跨站点脚本等等，在它们到达你的服务器之前采取行动。此外，防火墙还包括虚拟修补、行为分析、地理封锁、可自定义的安全规则等功能。

主要基于以下功能，Sucuri Security成为保护WordPress网站的首选：

• 提供多种SSL证书，但你必须为此付费
• 客户服务以即时聊天和电子邮件的形式提供
• 网站出现问题时，你会立即收到通知
• 通过某些计划可以使用高级分布式拒绝服务攻击（DDoS）防护
• 即使不想花钱，你也可以获得很多有价值的工具

2

Wordfence

Wordfence是我们测试过的最好的免费安全插件之一，也是新网站或低预算网站的绝佳选择。这款插件将简单性与强大的保护工具结合在一起，让你洞悉总体流量趋势和网络攻击尝试。Wordfence提供清晰的工具提示和文档链接，文档具有高度的上下文相关性和实用性，详细解释每个功能的作用、如何设置，以及为什么需要它。

一个出色的安全插件不仅会提供防火墙和恶意软件扫描系统来保护你的WordPress网站，还会提供一些辅助功能来增强安全性，这包括活动日志、漏洞检测、双重身份验证和登录保护。免费解决方案令人印象深刻，从防火墙到暴力攻击防护等功能，应有尽有。高级版功能更强，但价格昂贵，注册多个站点可以享受大幅折扣。

值得注意的是，Wordfence有一些不太令人满意的地方。例如，扫描器只有在查找某些部分中的恶意软件时才可靠，无法检测数据库中的恶意软件。此外，清理服务可能非常昂贵，防火墙无法100%有效地阻止恶意流量，并且会对服务器资源产生相当大的影响 —— 每次运行扫描时，你都会注意到网站性能显著下降。

• 对于较小的网站，免费版功能强大
• 注册多个站点密钥时，开发人员可以节省大量资金
• 具有完整的防火墙套件，包含国家/地区阻止、手动阻止、暴力破解保护、实时威胁防御、网络应用防火墙等工具
• 扫描功能可以抵御恶意软件、实时威胁和垃圾邮件，还会扫描所有文件（而不仅仅是WordPress文件）
• 记录搜索引擎抓取、登录、注销、访客、机器人等活动，并以此来监控实时流量
• 你可以使用一些独特的工具，例如手机登录和密码审核
• 垃圾评论过滤器，让你不再需要安装单独的插件

3	Solid Security

Solid Security是一款流行的安全插件，旨在保护你的WordPress网站免受黑客、机器人、恶意软件、暴力攻击和许多其他常见威胁。为了实现这一目标，它专注于通过无密码登录、双重身份验证、密码策略、受信任设备列表等功能增强登录安全性。此外，它还可以自动阻止可疑IP、删除管理员权限，并通知你有关的可疑活动。

安全是一个重大话题，会影响WordPress网站的每个部分。使用正确的功能和工具，你可以保护客户的信息安全，改善访客体验，甚至提升SEO。不同网站类型具有不同的安全需求，为了帮助你应用正确的设置，Solid Security提供六个站点模板：电子商务、社区网络、非盈利组织、博客、作品集、宣传册。

你是否与其他人共享仪表板，或者允许用户在你的网站上注册？在这种情况下，你可能希望为每个用户角色使用不同的安全设置，例如，你可能对管理员实施严格的密码策略，同时为客户提供更多自由。在设置过程中，Solid Security会将用户分为不同的组，然后根据站点模板和用户信息应用推荐的安全设置。

• 只需在入门向导中选择正确的模板，Solid Security就会为你应用推荐的安全设置
• 文件更改检测功能，这一点很重要，因为大多数网站管理员不会注意到文件何时被弄乱
• 谷歌reCAPTCHA集成，为你的登录账号增加一层保护
• 其他基本要素，例如404检测、暴力破解保护、强密码措施等等
• 漏洞扫描器和自动修补
• 实时安全统计仪表板

4	WP Fail2Ban

Fail2Ban会扫描日志文件auth.log，并禁止登录尝试失败次数过多的IP地址。这款插件通过更新系统防火墙规则来拒绝特定IP地址的连接，时间可以自行配置。Fail2Ban开箱即用，可以读取许多标准日志文件，例如sshd和Apache的日志文件，还可以轻松配置为读取你选择的任何日志文件，以查找你想要的任何错误。

手工配置选项很少，事实上，你需要做的就是安装并激活插件，然后静静欣赏它的能力。这个插件是完全免费的，你不必担心任何隐性成本。然而，尽管Fail2Ban能够降低错误尝试的发生率，但无法消除弱身份验证带来的风险。如果你希望保护自己的WordPress网站，请将服务设置为仅使用双重或公/私身份验证机制。

• 在临时或永久禁止之间选择
• 与Cloudflare和代理服务器集成
• 记录评论，以防止垃圾邮件或恶意信息
• 记录有关垃圾邮件、PingBack和用户枚举的信息
• 允许你创建短代码，在访客进入登录页面之前进行阻止

5	All-In-One Security

作为功能最丰富的安全插件之一，All-In-One Security提供简单的操作界面和不错的客户支持。这是一个高度可视化的产品，带有图形和表格，以便向初学者解释度量标准，例如安全强度，以及需要采取哪些措施使站点更加稳固。现在这款插件由UpdraftPlus团队管理，易于使用、功能齐全，而且完全免费。

所有功能大致可分为三类：基本、中级和高级，即使你是一位高级开发人员，仍然可以利用这个插件。主要工作方式是保护用户账户、阻止强行登录尝试、增强注册安全性。此外，内容保护功能可以保护你辛苦构建的成果，一体化安全功能可以消除垃圾评论，并通过iFrame预防和版权保护等功能防止其他网站窃取你的内容。

• 提供黑名单工具，你可以设置某些要求来阻止用户
• 备份.htaccess和.wp-config文件，遇到任何问题时，能够随时恢复
• 使用图表来显示网站的安全强度，对于普通用户来说，这是可视化站点安全性的最佳功能之一
• 为WordPress Salts添加了64个新字符，并每周更改一次
• 免费使用，没有任何追加销售

6

Jetpack

大多数人都熟悉Jetpack，这个插件功能丰富，并且是由WordPress.com开发人员制作的。Jetpack包含用于增强社交媒体、网站速度、垃圾评论防护的模块，以及大量其他功能。安装插件后，你必须拥有一个WordPress.com账户才能进行设置，并且你还得允许WordPress.com访问自己的网站。

安全套装包括三个组件：Akismet反垃圾评论、VaultPress备份，以及带有实时电子邮件通知的网站防火墙。另外还有一些安全工具，保护模块是免费的，能够阻止可疑活动，基本安全功能还支持暴力攻击防护和白名单。付费版本在安全性方面更强大，包含恶意软件扫描、自动网站备份、以及出现任何问题都能恢复等等。

• 免费计划为小型网站提供不错的安全性，高级计划提供全面支持和最优功能
• 高级计划提供更多套件，具有数据备份、垃圾评论保护、安全扫描等优点
• 插件更新完全通过Jetpack进行管理
• 一些其他功能，例如电子邮件营销、社交媒体、网站自定义和优化等等
• 停机时间监控

7

SecuPress

如果你想要一个易于使用、界面漂亮、功能丰富的安全性插件，SecuPress绝对是最好的选择之一。免费版具有暴力破解防护、IP禁止、防火墙、安全密钥保护、阻止恶意爬虫等功能。高级版提供更多，例如GeoIP阻止、警报和通知、双重身份验证、PHP恶意软件扫描、PDF报告等等。

为了在竞争激烈的市场中脱颖而出，SecuPress主要关注以下几个方面：易于使用、任何用户都可以理解的选项、提供基本安全选项，无需你进行任何修改或调整即可应用。SecuPress会扫描你的WordPress网站是否存在漏洞，然后向导会以简单易懂的方式呈现问题，你只需选中漏洞即可自动修复。

• 最漂亮的安全插件之一，即使对于初学者也很容易使用
• 高级版提供更多价值：在5分钟内检查35个安全点，获得一份不错的报告，然后加固你的WordPress网站
• 更改网站登录链接，使机器人无法找到
• 检测容易受到攻击或遭到篡改的主题和插件

8	BulletProof Security

BulletProof Security提供免费和付费版本，这款插件一直在积极地开发和更新，包含的功能可能比市场上大多数其他安全插件更多。你将获得分段管理、电子邮件警报、反垃圾评论、自动恢复等功能。我们建议你先试用免费版本，并获得以下实用工具：

这不是最人性化的安全插件，但对于想要利用独特设置和功能的高级开发人员而言，确实能够胜任。此外，它还具有安装向导的自动修复功能，使其变得更容易一些。

• 一些独特的高级安全工具，例如ARQ入侵检测和防御系统、cron/curl扫描计划任务、文件夹加密等等
• 免费版包含的功能足够普通网站使用
• 可以隐藏单个插件文件夹
• 维护模式

9	Google Authenticator

大多数功能单一的安全插件没有多大意义，因为你通常可以使用Sucuri之类的选项获得相同功能。但是，双重身份验证是另一回事，因为大多数安全套件并不包含。Google Authenticator可以在登录模块增加第二层安全性，除了常规密码之外，插件还会向你的手机推送通知，或者通过其他方式进行身份验证。

• 几乎消除了登录区域的所有安全隐患
• 可以选择最简单的双重身份验证方法
• 可以选择需要通过身份验证的用户类型
• 提供简码，可用于自定义登录页面

10	Security Ninja

Security Ninja已经存在了很多年，在2016年转为免费增值模式，附加组件都被弃用。现在只提供两个版本：免费和高级，主模块（免费）能够执行50多项安全测试：检查文件、MySQL权限、PHP设置。这个插件会对所有用户的密码进行暴力检查，以清除弱密码账户。另外还有一个自动修复模块，每个测试都有详细的解释。

• 安全测试模块（免费）可以在网站上执行50多项安全测试
• 不懂技术吗？没问题，自动修复模块可以解决检测到的所有问题
• 识别大量已知的错误IP，并自动阻止它们
• 记录WordPress网站上发生的所有事件：用户登录、更改设置等等
• 可以设置定期扫描

11

Defender

Defender使得设置WordPress安全非常简单，免费版和专业版都包含最有效的加固技术。你可以运行免费扫描，检查是否包含可疑代码，Defender将本地安装与WordPress.org进行比较，报告更改，然后点击即可恢复。此外，他们还提供专业版，包含10GB云备份、审核日志、安全扫描、黑名单监控等功能，技术支持专家甚至会帮你清理被黑网站。

• WordPress核心文件扫描和修复
• IP黑名单管理、日志记录
• 定时锁定暴力破解攻击，用于登录保护
• 404限制器，用于阻止漏洞扫描
• IP锁定通知和报告

12	Astra Web Security

这是WordPress网站的首选安全套件，使用Astra，你将不必担心恶意软件、XSS、SQL注入、垃圾评论、暴力破解等超过100种威胁，这意味着你可以摆脱其他安全插件并让Astra负责。吉列、非洲联盟、福特、阿曼航空等很多知名品牌都使用Astra的安全解决方案，如果你打算在网站的安全性上花钱，这将是一项不错的投资。

• Astra安全解决方案作为WordPress插件安装，无需更改DNS设置
• 提供即时的恶意软件清除功能，坚如磐石的防火墙可以阻止超过100种网络攻击
• 完整的安全审核，包括WordPress网站的业务错误逻辑
• 简洁的现代化仪表盘，并提供一个阻止或将国家/地区、IP范围、网址列入白名单的选项
• 免费的社区安全和漏洞管理平台，让你以安全可靠的方式报告任何漏洞，每个问题均由Astra工程师进行验证

13	Shield Security

Shield Security是一个非常智能的安全插件，知道如何应对威胁，而不会总是向你发送通知。Shield适用初学者和高级用户，从激活开始就扫描并保护你的网站，所有选项都会完整记录。核心功能永远免费，如果你想要获得更深入的保护和24小时技术支持，只需支付少量费用就可以升级到高级版。

• 对某些用户进行限制，以阻止其访问安全插件本身
• 保护功能更智能，在后台不知疲倦地工作，而且不会以任何方式打扰你
• 免费提供三种类型的双重身份验证，并且可以为不同用户配置不同的验证方式
• 专业版价格实惠，提供6倍强大的扫描功能，以检测网站所有区域的问题

14	Hide My WP

这是一款流行的安全插件，可以向攻击者、垃圾评论发送者、Wappalyzer或BuiltWith等检测器隐藏你正在使用的内容管理系统。这个插件捆绑了入侵检测系统（IDS），以阻止实时安全攻击，例如SQL注入、XSS等等。最新的白名单功能可用于仅允许某些IP管理WordPress。

• 隐藏主题、插件、wp-admin、登录地址，更改永久链接
• 阻止直接访问PHP文件，清除WP类名称，禁用目录列表
• 记录任何潜在的不良行为，包括攻击者的完整信息，例如用户名、IP地址、日期等等
• 提供一个信任网络，自动阻止来自错误源IP地址的流量
• 易于使用，可以直接使用预设的配置
• 与多站点、Apache、Nginx、IIS、高级主题、其他安全插件兼容

15	Patchstack

Patchstack是一个高级网站安全平台，支持所有的PHP应用程序，并以先进的端点防火墙而闻名，可以让你通过仪表盘完全控制网站之间的流量。事实上，Patchstack具有托管的网络应用防火墙，可以保护你的站点免受插件漏洞、机器人攻击、虚假流量等侵害。

• 高级网站防火墙，可以完全自定义
• 虚拟补丁程序会自动接收规则来修补插件和主题漏洞
• 强化网站安全性：双重身份验证、reCAPTCHA、添加安全标头、阻止暴力破解、更改wp-admin、添加cookie等等
• 正常运行时间监控：当站点发生故障时，你会接收到电子邮件警报
• 自定义PDF安全报告，可以使用你自己的徽标，以便发送给客户
• 无限网站的集中式安全性

我想要...

• 在家里赚钱
• 在网上赚钱
• 在网上卖东西
• 成为一名自由职业者

---